En Suède, une chaîne d’épicerie a temporairement fermé ses portes après l’attaque. Certaines entreprises se sont vu demander une rançon de 5 millions de dollars.
Des centaines d’entreprises dans le monde, dont l’une des plus grandes chaînes d’épicerie de Suède, ont été confrontées samedi à des vulnérabilités potentielles en matière de cybersécurité après qu’un fournisseur de logiciels qui offre des services à plus de 40 000 organisations, Kaseya, a déclaré avoir été victime d’une « cyberattaque sophistiquée ».
Selon des chercheurs en sécurité, l’attaque pourrait avoir été menée par REvil, un groupe cybercriminel russe qui, selon le FBI, est à l’origine du piratage du plus grand transformateur de viande au monde, JBS, en mai.
En Suède, l’épicier Coop a été contraint de fermer au moins 800 magasins samedi, selon Sebastian Elfors, chercheur en cybersécurité pour la société de sécurité Yubico. À l’extérieur des magasins Coop, des panneaux refusaient les clients : « Nous avons été touchés par une importante perturbation informatique et nos systèmes ne fonctionnent pas ».
M. Elfors a indiqué qu’une compagnie ferroviaire suédoise et une grande chaîne de pharmacies avaient également été touchées par l’attaque de Kaseya. « C’est totalement dévastateur », a-t-il déclaré.
Interrogé sur la cyberattaque après son atterrissage dans le Michigan samedi, lors d’un voyage pour célébrer la retraite de Covid-19 aux États-Unis, le président Biden a déclaré qu’il avait été retardé à sa descente d’avion parce qu’il était informé de l’attaque. Il a dit qu’il avait ordonné aux « ressources complètes du gouvernement fédéral » d’enquêter. « L’idée initiale était qu’il ne s’agissait pas du gouvernement russe, mais nous n’en sommes pas encore certains », a-t-il déclaré.
Les victimes de la violation ont été touchées par une mise à jour du logiciel Kaseya, a déclaré Kevin Beaumont, chercheur en matière de menaces. Au lieu de recevoir la dernière mise à jour de Kaseya, elles ont reçu le ransomware de REvil. Kaseya a d’abord été victime d’une vulnérabilité inconnue dans ses systèmes, appelée « zero day » car lorsque de telles vulnérabilités sont découvertes, les fabricants de logiciels ont zéro jour pour y remédier. Entre-temps, les cybercriminels et les espions peuvent utiliser cette vulnérabilité pour faire des ravages.
Selon M. Beaumont, l’attaque a marqué une grave escalade dans les tactiques des gangs de ransomware. Lors des attaques précédentes, REvil était connu pour s’introduire par une combinaison d’hameçonnage, de mots de passe volés ou d’un manque d’authentification multifactorielle.
Les chercheurs néerlandais ont déclaré avoir signalé la vulnérabilité à Kaseya, mais l’entreprise travaillait encore sur un correctif lorsqu’elle a été victime d’une intrusion et que ses mises à jour logicielles ont été compromises, selon des personnes informées de la chronologie.
L’attaque a été rendue publique vendredi, lorsque Kaseya a déclaré qu’elle étudiait la possibilité d’avoir été victime d’une cyberattaque. La société a exhorté les clients qui utilisent sa plateforme de gestion des systèmes, appelée VSA, à fermer immédiatement leurs serveurs pour éviter la possibilité d’être compromis par des attaquants.
« Nous sommes confrontés à une attaque potentielle contre la VSA qui s’est limitée à un petit nombre de clients sur site », a indiqué Kaseya sur son site Web, faisant référence aux organisations qui conservent leurs logiciels sur leurs propres sites plutôt que de les héberger chez un fournisseur de services en nuage. « Nous sommes en train d’enquêter sur la cause profonde de l’incident avec la plus grande vigilance ».
Fred Voccola, le directeur général de Kaseya, a déclaré samedi dans un communiqué que moins de 40 clients avaient été touchés par l’attaque, mais ces clients comprennent ce qu’on appelle des fournisseurs de services gérés, qui peuvent chacun fournir des outils de sécurité et de technologie à des dizaines, voire des centaines d’entreprises.
Cela a amplifié la gravité de l’attaque, a déclaré John Hammond, un chercheur de la société de cybersécurité Huntress Labs.
« Ce qui rend cette attaque exceptionnelle, c’est l’effet de ruissellement, du fournisseur de services gérés à la petite entreprise », a déclaré M. Hammond. « Kaseya gère les grandes entreprises jusqu’aux petites entreprises dans le monde entier, donc en fin de compte, cela a le potentiel de se propager à toute taille ou échelle d’entreprise. »
Certaines des entreprises touchées se sont vu demander une rançon de 5 millions de dollars, a déclaré M. Hammond. Des milliers d’entreprises sont en danger, a-t-il ajouté.
L’Agence américaine de cybersécurité et de sécurité des infrastructures a décrit l’incident dans une déclaration sur son site Web vendredi comme une « attaque par ransomware de la chaîne d’approvisionnement ». Elle a exhorté les clients de Kaseya à fermer leurs serveurs et a indiqué qu’elle menait une enquête.
Ces derniers mois, les pirates ont mené une série de cyberattaques importantes contre des entreprises américaines, dont JBS et Colonial Pipeline, qui transporte du carburant le long de la côte Est. Il s’agissait dans les deux cas d’attaques par ransomware, dans lesquelles les pirates tentent de fermer les systèmes jusqu’au paiement d’une rançon. La société de jeux vidéo Electronic Arts a également été piratée récemment, mais ses données n’ont pas fait l’objet d’une demande de rançon.
https://www.nytimes.com/2021/07/02/technology/cyberattack-businesses-ransom.html
https://csirt.divd.nl/2021/07/03/Kaseya-Case-Update/
https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689-Important-Notice-July-2nd-2021
https://www.nytimes.com/2021/06/10/technology/electronic-arts-hacked.html
